директива

Шест сектора на критичната инфраструктура изпитват затруднения да спазят директивата NIS2. За това предупреди водещата агенция за сигурност на ЕС.

Директивата беше създадена в отговор на нарастващите заплахи за критичните сектори в целия регион. Тя налага строг набор от базови изисквания за киберсигурност.

В нов доклад на Enisa за стартирането на схемата за оценка на състоянието на сигурността NIS360 се посочват следните сектори:

• управление на ИТ услуги, който е изправен пред предизвикателства заради трансграничния си характер и разнородните структури;
• космическа индустрия, където ограничените познания в областта на киберсигурността и силното разчитане на готови търговски компоненти са предизвикателства;
• публична администрация, където организациите „не разполагат с подкрепата и опита, които се наблюдават в по-зрелите сектори“;
• морски сектор, който е изправен пред предизвикателства, свързани с ОТ, и би могъл да се възползва от „адаптирани насоки за управление на риска в областта на киберсигурността“;
• здравеопазване, което разчита на сложни вериги за доставки, наследени системи и слабо защитени медицински изделия;
• газоснабдяване, който трябва да подобри готовността и възможностите за реагиране при инциденти.

Enisa също така посочва, че секторът на цифровата инфраструктура е „стъпка по-надолу по отношение на зрелостта“. Той включва критични услуги като интернет обмен, домейни от първо ниво, центрове за данни и облачни услуги.

Като положителни примери докладът изтъква електроенергията, телекомуникациите и банковото дело. Те са трите най-подготвени сектора от гледна точка на NIS2.

 

Днес, 17 октомври, изтича срокът за превръщане на Директива NIS2 в национално законодателство. Oганите на държавите членки вече могат да подвеждат под лична отговорност ръководителите на организациите, ако след киберинцидент се докаже груба небрежност.

Директивата категоризира критичните сектори като „съществени“ и „важни“ въз основа на размера и значението им за националната и европейска икономика. Всяко нарушение на нейните изисквания може да струва на „съществените“ организации до 10 милиона евро или 2% от световните годишни приходи. Максималната санкция за тези, определение като „важни“, е до 7 милиона евро или 1,4% от световните годишни приходи.

NIS2 задължава правоприлагащите агенции в държавите членки на ЕС да извършват проверки на сигурността, да издават предупреждения за нарушения и да докладват за инциденти в рамките на 24 часа. От националните екипи за спешно реагиране в областта на киберсигурността се изисква да споделят информация за киберзаплахи, уязвимости и пробиви.

Срокът за транспониране на директивата беше определен преди година от ЕП с цел страните членки да имат общи, пропорционални на рисковете и заплахите мерки за киберсигурност. Но приемането на нужното законодателство върви на различни скорости. Страните „отличници“ са  едва 6 – Белгия, Гърция, Унгария, Хърватска, Литва и Латвия.

България този път е в една група с европейските лидери Франция, Германия и Италия, но не като добър пример. Страната ни изостава с приемането на необходимата правна рамка. Въпреки че публичното обсъждане на новия ни Закон за киберсигурност приключи още в началото на август, той все още не е попаднал в дневния ред на парламента.

Очаква се към този закон да се появи и нова версия на Наредба за минимални изисквания за мрежова и информационна сигурност. В нея трябва да бъдат заложени конкретните мерки, които всяка организация в обхвата на NIS2 трябва да въведе.

Ясна перспектива кога ще се случи това няма, но липсата на национално законодателство не е основание да се избегнат евентуални санкции.